记一次阿里云ECS被挂挖矿代码的处理历程
起因:
公司手机收到阿里云提示短信,检测到ECS服务器出现紧急安全事件:访问恶意下载源
于是访问阿里云管理平台查看到如下信息
处理过程一:
连接到服务器,htop查看到有可疑进程,吃掉了服务器2vcpu中的1个
上网搜了一下ackng.com确认了这是一个挖矿木马程序
于是就先kill杀掉进程
然后通过find查找到了./xr所在目录 /.Xll
rm -rf /.Xll
删除该目录及目录内所有文件
继续htop观察,cpu确实降下来了
然而,过了几分钟时间后,cpu又有一个被占满了,刚才删除的/.Xll/xr又回来了
处理过程二:
这时候,一般就能猜到,一定有什么东西能让木马程序复制或者重新下载,怀疑是个定时任务
于是我先去阿里云改了一下密码,重启服务器,
然后发现该进程在我重新连上服务器之前就自己启动了
发现在个进程前面,有一个CROND ,说明确实有定时任务
于是接下来主要就是要找到这个定时任务
通过 systemctl list-unit-files|grep enabled
能看到有个crond.service定时服务
所以上网看了下crond服务的配置文件位置
vim /etc/crontab 打开查看
抓到了!
这里有多条黄色字,就是被添加的自动执行程序
定时执行curl下载木马、启动的指令
删除这些指令,保存配置
而后,重新杀死木马进程,删除木马程序
service crond restart 重新启动定时服务
这次挖矿代码没有自动复活了
保险起见,再次修改了服务器密码
重启服务器,观察了一阵子没有奇怪的进程了
Done!